3.3 規則解析模塊

　　規則解析模塊將從控制中心傳送過來的規則按照一定的數據結構存儲在規則庫中， 作為對入侵行為進行判斷分析的知識庫。在該模塊的設計中， 本文采用動態生成鏈表的方式構建規則的語法樹， 把所選擇的規則存儲在數據檢測器所在的主機內存中， 規則鏈表的結構如圖9 所示。

　　第一層是具有相同處理動作（Alert （ 警告），Log （ 記錄），Pass（ 忽略）） 的節點， 以RuleListNode 結構表示。其次，是在具有相同處理動作的基礎上， 按照不同的協議類型（IP， TCP， ICMP 和UDP） 再分成幾條鏈表。而在每條鏈表中， 具有相同源IP 地址、目的IP 地址、源端口和目的端口的規則頭節點RuleTreeNode 構成了結構圖的第二層。以下的幾層由具有相同源IP 地址、目的IP 地址、源端口和目的端口所對應的規則選項節點即tTreeNode 組成。例如在一組規則中有45 條檢測CGI-BIN 探測活動的規則， 而它們都具有相同的源/目的IP 地址及端口號， 則它們在鏈表中可以將這些共同屬性壓縮到一個單獨的RuleTreeNode 節點中， 而每個不同的屬性（ 規則選項） 保存在與RuleTreeNode 節點相連的OptTreeNode 節點中。這樣的結構方式， 將大大有助于提高檢測速度。

　　建立規則鏈表的流程如下： 首先讀取規則文件， 檢查規則文件是否存在并可讀， 然后依次讀取每一條規則， 同時進行多行規則的整理； 對規則進行解析， 按類型進行分支處理， 并用相應的規則語法表示， 建立規則語法樹； 最后進行一些完善操作， 如連接所有的動態規則，進行規則樹的完整性檢查。其中解釋規則并將其添加到規則鏈表的流程如圖10 所示。

　　圖10 規則解析模塊流程

　　作為個人通信的一個重要的組成部分， 無線局域網在現實及未來的社會生活中將得到廣泛的應用。無線入侵檢測技術也將必然隨著計算機技術的發展而發展， 隨著無線網絡的普及和移動設備的性能的提高而得到進一步的發展。下一步將在本文研究的基礎上， 重點解決入侵檢測系統的應用瓶頸問題， 以大幅度提升檢測準確性以及大量應用網絡環境下的系統性能。
?